Informes sobre malware

Desarrollo de las amenazas informáticas en el tercer trimestre de 2013

Números del trimestre

  • Según los datos de Kaspersky Security Network, en el tercer trimestre de 2013 los productos de Kaspersky Lab han detectado y neutralizado 978.628.817 objetos maliciosos.
  • Las soluciones de Kaspersky Lab han neutralizado 500.284.715 ataques lanzados desde recursos de Internet ubicados en diferentes países del mundo.
  • Nuestras soluciones antivirus bloquearon con éxito 476.856.965  intentos de infección local en los equipos de los usuarios que participan en Kaspersky Security Network.
  • El 45,2% de los ataques bloqueados por nuestros productos se lanzó desde recursos web ubicados en EE.UU. y Rusia.

Generalidades

Ataques selectivos / APT

Nuevos trucos de NetTraveler

Los investigadores de Kaspersky Lab han detectado un nuevo vector de ataque de NetTraveler, una avanzada amenaza persistente que ya ha infectado a cientos de víctimas de perfil reconocido en más de 40 países. Entre los blancos conocidos de NetTraveler figuran activistas tibetanos/uigures, compañías petroleras, centros e institutos de investigación científica, universidades, compañías privadas, gobiernos y agencias gubernamentales, embajadas y contratistas militares.

En cuanto se hicieron públicas sus operaciones  (NetTraveler se está ejecutando) en junio de este año, los atacantes cerraron todos los sistemas de comando y control conocidos de NetTraveler y los migraron a nuevos servidores en China, Hong Kong y Taiwán, desde donde continuaron los ataques con plena libertad.

En los últimos días un gran número de activistas uigures han recibido varios  mensajes de correo tipo spear-phishing. El exploit para Java que se usó para esta nueva variante de Red Star APT se reparó en junio y tiene un índice mucho mayor de efectividad. Los ataques precedentes utilizaban exploits para Office (CVE-2012-0158) que Microsoft reparó en abril.

Además del uso de mensajes de correo tipo spear-phishing, los operadores de APT han adoptado la técnica conocida como watering hole, o abrevadero, que consiste en desvíos a sitios web y descargas al paso desde dominios falsos, para infectar a los usuarios mientras navegan en la web. Kaspersky Lab ha interceptado y bloqueado varios intentos de infección desde el dominio “weststock[dot]org”, que es un conocido sitio vinculado a anteriores ataques de NetTraveler. Al parecer, estos desvíos se originan en otros sitios web relacionados con los activistas uigures que los atacantes de NetTraveler comprometieron e infectaron.

Icefog

Kaspersky Lab descubrió “Icefog“, un pequeño pero vigoroso grupo APT que apunta a blancos en Corea del Sur y Japón y que ataca a las cadenas de abastecimiento de compañías occidentales. La operación comenzó en 2011 y ha crecido en tamaño y alcance en los últimos años.  Al contrario de la mayor parte de otras campañas APT que infectan a sus víctimas por meses e incluso años, los operadores de Icefog procesan a sus víctimas una por una: localizan y copian sólo información específica, tras lo cual  se marchan. Los atacantes secuestran documentos confidenciales y planes corporativos, datos de cuentas de correo y contraseñas de acceso a varios recursos dentro y fuera de la red de la víctima. En la mayoría de los casos, los operadores de Icefog parecen conocer muy bien lo que necesitan de sus víctimas, pues  buscan nombres específicos de archivos, que rápidamente identifican y transfieren  a su C&C.  Según los perfiles de blancos identificados, los atacantes parecen interesarse en los siguientes sectores: militar, astilleros y operaciones marítimas, ordenadores y desarrollo de software, compañías de investigación, operadores de telecomunicaciones, operadores de satélite, medios de comunicación  y televisión.

Los investigadores de Kaspersky lograron drenar 13 de los más de 70 dominios que utilizaban los atacantes. Esto proporcionó datos estadísticos sobre la cantidad de víctimas en todo el mundo. Asimismo, los servidores de comando y control de Icefog guardaban registros codificados de sus víctimas y detalles de las diferentes operaciones que realizaron. Estos registros pueden ayudar a identificar los blancos de los ataques, y en algunos casos a las víctimas. Además de Japón y Corea del Sur, se han observado muchas conexiones de drenaje en otros países, como Taiwán, Hong Kong, China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania, Austria, Singapur, Bielorrusia y Malasia. En total, Kaspersky Lab ha detectado más de 4.000 IPs únicas infectadas, así como cientos de víctimas (algunas decenas de víctimas Windows y más de 350 víctimas Mac OS X)

En base a la lista de IPs utilizadas para monitorear y controlar la infraestructura, los expertos de Kaspersky Lab asumen que algunos de los operadores  de esta amenaza residen en al menos tres países: China, Corea del Sur y Japón.

Kimsuky

En septiembre, el equipo de investigación en seguridad cibernética de Kaspersky Lab publicó un informe en el que se analiza una activa campaña de ciberespionaje dirigida principalmente contra centros de estudio surcoreanos.

Esta campaña, conocida como Kimsuky, es limitada y con blancos muy específicos. Según el análisis técnico, los atacantes estaban interesados en 11 organizaciones con sede en Corea del Sur y dos en China, incluyendo el Instituto Sejong, el Instituto Coreano para Análisis de Defensa (KIDA, por sus siglas en inglés), el Ministerio de Unificación de Corea del Sur, Hyundai Merchant Marine y los Partidarios de la Unificación Coreana.

Los primeros rastros de la actividad de Kimsuky datan del 3 de abril de este año, y las primeras muestras del troyano Kimsuky aparecieron el 5 de mayo. Este sencillo programa espía incluye varios errores básicos de codificación y maneja sus comunicaciones a y desde  los ordenadores infectados mediante un servidor búlgaro de correo gratuito.

Aunque el mecanismo inicial de propagación no se conoce todavía, los investigadores de Kaspersky asumen que es muy probable que el programa malicioso Kimsuky se propague a través de mensajes tipo spear-phishing, y que tiene la habilidad de llevar a cabo las siguientes tareas de espionaje: registro de pulsaciones en el teclado, recopilación de la lista del directorio, acceso por control remoto y robo de documentos HWP (relacionados con la aplicación de procesamiento de textos surcoreana desde el paquete Hancom Office de amplio uso por parte del gobierno de ese país). Los atacantes utilizan una versión modificada de la aplicación de acceso remoto TeamViewer que actúa como una puerta trasera para secuestrar cualquier archivo desde los ordenadores infectados.

Kimsuky contiene un programa malicioso dedicado que está diseñado para robar archivos HWP, lo que sugiere que estos documentos son uno de los principales objetivos del grupo.

Algunas pistas que los expertos de Kaspersky Lab encontraron permiten suponer que los atacantes son norcoreanos. En primer lugar, los perfiles de los blancos hablan por sí mismos: universidades surcoreanas que realizan investigaciones en asuntos internacionales y que producen políticas de defensa para el gobierno, una compañía nacional marítima y partidarios de la unificación coreana.

En segundo lugar, una cadena de compilación de ruta que contiene palabras en coreano, que significan, por ejemplo, “ataque” y “terminación”.

En tercer lugar, dos direcciones de correo electrónico a las que los bots envían informes sobre su estado e información sobre sistemas infectados mediante adjuntos, iop110112@hotmail.com y rsh1213@hotmail.com, están registradas con los siguientes nombres “kim”: “kimsukyang” y “Kim asdfa”. Aunque estos datos de registros no ofrecen evidencia concreta sobre los atacantes, la fuente de las direcciones IP de los atacantes encajan con el perfil: existen 10 direcciones IP de origen, y todas se encuentran en la red Jilin Province Network y en la red Liaoning Province Network en China. Asimismo, al parecer los proveedores de servicio de Internet en estas provincias tienen líneas en zonas de Corea del Norte.

Historias de programas maliciosos

Arrestan al creador del paquete de exploits Blackhole

A principios de octubre las autoridades rusas arrestaron al autor de Blackhole, conocido con el alias de Paunch, y a sus supuestos cómplices. Se podría decir que Blackhole ha sido el paquete de exploits más exitoso de los últimos años. Blackhole se vende a ciberdelincuentes que desean propagar sus programas maliciosos mediante descargas al paso, el vector de ataques más importante hoy en día. Los ciberpiratas usan los enlaces maliciosos que dirigen a sitios web comprometidos para infectar los equipos de los usuarios, y el paquete de exploits selecciona los exploits apropiados según las versiones del software instalado, como Flash, Java o Adobe Reader.

Este arresto es uno de los más significativos de los últimos tiempos tras la detención de los miembros de la pandilla Carberp entre marzo y abril de este año. Mientras que en el caso de Carberp el código fuente se hizo público tiempo después, aún queda por verse si Blackhole desaparece, si alguién se adueña de él, o si otros competidores lo remplazan.

Aparece nueva red zombi de routers

En septiembre de este año Heise informó sobre una nueva red zombi conformada por routers. Los routers son cruciales para los usuarios de redes domésticas, y su infección afecta a todos los dispositivos conectados a él: PCs, Macs, Tablets, Smartphones e incluso a las Smart-TVs. La red zombi, conocida como Linux/Flasher.A, extrae los datos de acceso a las cuentas de los usuarios que se transmiten desde los distintos dispositivos. La infección ocurre a través de una vulnerabilidad en el servidor web de los routers con DD-WRT, un firmware de código abierto para routers. Una petición HTTP mal formulada produce la ejecución de un código arbitrario. Posteriormente, los datos de cuentas robados se transfieren a servidores web maliciosos.

La vulnerabilidad que Flasher.a utiliza data de 2009 y aunque ya se reparó, se ha detectado en más de 25.000 dispositivos, según informa Heise. Esto pone en evidencia la gran amenaza proveniente de los routers: pocos usuarios actualizan el firmware, por lo que la mayoría se convierten en blanco fácil de los ciberdelincuentes. Para conocer más sobre programas maliciosos para routers, puedes leer el análisis que Marta Janus, experta de Kaspersky Lab, escribió sobre el primer programa malicioso para routers que se detectó, con el nombre de Psyb0t.

Seguridad web y fugas de datos

El caso de Vodafone en Alemania

Vodafone Germany sufrió el robo de datos de dos millones de sus clientes a mediados de septiembre. Los registros copiados contenían no sólo los nombres y direcciones de correo de sus clientes, sino también su información bancaria. Vodafone cree que en el robo hubo participación de un infiltrado por los rastros y el volumen de los datos copiados. Si bien se identificó rápidamente a un sospechoso, un grupo de hackers, llamado Team_L4w, confesó la autoría del ataque y aclaró que uno de sus miembros utilizó una memoria USB para infectar el equipo de un empleado de Vodafone.

Vodafone informó del hecho a todos sus clientes afectados mediante correo postal. Por cuestiones de transparencia, Vodafone creó un foro web en el que los clientes pueden verificar si sus datos están comprometidos.

Hackean el portal del desarrollador de Apple

En julio, Apple sufrió un ataque contra su portal Apple Developer que lo deshabilitó por más de tres semanas, después de que un intruso obtuviera acceso a la información personal de desarrolladores registrados. Aún resta determinar el ‘quién’ y el ‘cómo’ del ataque, pues existen varias explicaciones posibles. Poco después de que este incidente se hiciera público, un supuesto consultor en seguridad publicó un video en YouTube asumiendo la autoría del ataque, y confesando que había copiado más de 100.000 registros de las bases de datos de Apple, los que prometió eliminar, y que había usado una falla de secuencias de comandos en sitios cruzados (XSS) en dicho portal. Después, el atacante compartió 19 registros con el periódico Guardian , de los cuales algunas eran direcciones inválidas y las otras parecían abandonadas, lo que arrojó dudas sobre la veracidad de la confesión.

Curiosamente, dos días antes de que Apple deshabilitara su portal Developer, se publicó en el foro Apache un mensaje sobre una nueva vulnerabilidad , y además de explicarla en detalle puso un exploit completamente funcional a disposición del público. Según un sitio web chino, esto dio lugar a ataques a gran escala de los que Apple podría ser sólo una de sus víctimas.

Dominios populares secuestrados

A principios de octubre (hackers atacan a dominios reconocidos) varios dominios populares quedaron deshabilitados, incluyendo whatsapp.com, alexa.com, redtube.com, además de dos prominentes compañías de seguridad informática. Al parecer, los atacantes, un grupo denominado KDMS, prefirieron secuestrar los DNS, o registradores de dominios, en lugar de comprometer los correspondientes servidores web. Los dominios comprometidos compartían el mismo registrador DNS y acababan de actualizarse cuando este caso se hizo público. Según Softpedia, el ISP de los sitios web afectados fue blanco de ataques de mensajes de correo con falsas peticiones de restauración de contraseñas. Después de controlar el dominio con nuevas credenciales, los atacantes cambiaron las entradas y publicaron declaraciones políticas.

Malware móvil

Desde el punto de vista de la lucha contra el malware móvil, el tercer trimestre de 2013 ha un sido un periodo muy tenso y rico en diferentes tipos de trucos de los escritores de virus.

Novedades de los escritores de virus

Podemos decir si temor a equivocarnos que este ha sido el trimestre de las botnets móviles.  Los creadores de los troyanos SMS más propagados se han esforzado en hacer que sus creaciones sean más interactivas. Así, para administrar los bots, los escritores de virus han empezado a usar Google Cloud Messaging. Este servicio permite usar los servidores de Google para enviar a los dispositivos móviles pequeños mensajes en formato JSON y los delincuentes lo han empezado a utilizar como un centro de administración adicional para sus troyanos.

A las soluciones de defensa les es difícil detectar estas interacciones. El sistema operativo es el que se encarga de procesar las instrucciones recibidas del GCM y es imposible bloquearlas en el dispositivo infectado. La única forma de clausurar este canal de comunicación de los escritores de virus con su malware es bloquear las cuentas de los desarrolladores cuyas ID usan los programas maliciosos para registrarse en GCM.

En el presente no son tantos los programas maliciosos móviles que usan GCM, pero la mayoría son muy populares.

Además, a mediados de junio de 2013 hemos registrado por primera vez casos en que se usaban botnets de terceros para propagar malware móvil, es decir dispositivos móviles infectados por otros programas maliciosos administrados por otros delincuentes.

De esta manera se propagaba el troyano más complicado para Android, Obad. Para difundirlo se usaban dispositivos móviles infectados por Trojan-SMS.AndroidOS.Opfake.a. Después de recibir la orden de un servidor de administración, Opfake empezaba a enviar desde los dispositivos infectados SMS que proponían descargar un nuevo mensaje MMS. Si el usuario que recibía el SMS seguía el enlace contenido en el mensaje, en su dispositivo móvil se instalaba de forma automática Backdoor.AndroidOS.Obad.a.

El malware móvil se sigue usando sobre todo para robar dinero a los usuarios. En el tercer trimestre ha aparecido un nuevo programa malicioso que permite a los delincuentes robar dinero no sólo de las cuentas móviles, sino también de las cuentas bancarias de la víctima.  Trojan-SMS.AndroidOS.Svpeng.a, que interceptamos en junio, al recibir una orden del delincuente comprueba si el número telefónico está vinculado con los servicios de banca online de diferentes bancos rusos. La segunda modificación de este troyano contenía las funciones de esta comprobación en su código:

Como regla, los usuarios pueden cargar su cuenta de teléfono móvil enviando un SMS desde el teléfono vinculado al servicio “Banco móvil”. Esto permite a los delincuentes transferir el dinero depositado en el “Banco móvil” a sus números de teléfono y después convertirlos en dinero contante y sonante, usando una billetera electrónica Qiwi, por ejemplo.

Trojan-SMS.AndroidOS.Svpeng.a evita que la víctima se comunique con el banco, por ejemplo, interceptando los SMS y las llamadas de los números pertenecientes al banco. Como resultado, la víctima durante largo tiempo no sospecha que le están robando dinero de su cuenta bancaria.

Las pérdidas que causan estos troyanos pueden llegar a varios miles de dólares.

También se está haciendo popular la explotación de diferentes vulnerabilidades en el SO Android. Por ejemplo, Svpeng.a ponía una contraseña inexistente a un almacén inexistente e interceptaba el diálogo de renuncia a los derechos de DEVICE ADMINISTRATOR, lo que provocaba que el usuario no pudiese de ninguna manera desinstalar la aplicación.

Los derechos de DEVICE ADMINISTRATOR los usan también otros programas maliciosos modernos y como resultado pueden funcionar largo tiempo y de forma efectiva en la mayoría de las versiones de Android.

Llaves maestras: Las vulnerabilidades en Android permiten que las aplicaciones evadan las verificaciones de seguridad

El inicio del tercer trimestre fue testigo del descubrimiento de dos muy desagradables vulnerabilidades en Android, ambas conocidas como “Llaves maestras” (Master keys).  Estas vulnerabilidades permiten que los componentes de una aplicación eviten la firma criptográfica de manera que el sistema operativo Android la considere completamente legítima, incluso si contiene módulos maliciosos.

Las dos vulnerabilidades son muy similares. Bluebox Security Company detectó la primera de ellas en febrero y Jeff Forristal la presentó en detalle en la conferencia BlackHat en Las Vegas. Según Bluebox, esta vulnerabilidad se encuentra en todas las versiones de Android, a partir de la 1.6, por lo que podría afectar a casi todos los dispositivos lanzados en los últimos cuatro años. Las aplicaciones son archivos únicos con una extensión .APK (Android Package). Por lo general, los archivos APK son archivos ZIP con todos sus recursos comprimidos como archivos con nombres especiales (el propio código de la aplicación se almacena en el archivo clases.dex). Por lo general, cualquier intento de modificar los contenidos de un archivo APK se detiene cuando se instala la aplicación en un sistema operativo Android. El mismo formato ZIP no excluye la duplicación de nombres de archivos, y en caso de recursos “duplicados”, al parecer Android verifica con éxito un archivo, pero ejecuta el otro.

Sobre la segunda vulnerabilidad, fueron expertos chinos quienes publicaron la información. El problema aquí es el uso simultáneo de dos métodos de lectura y descompresión de los archivos APK y las diferentes interpretaciones de Java y C. Al igual que la primera vulnerabilidad, este método permite usar dos ficheros con nombres idénticos dentro de un fichero APK para interferir con el funcionamiento del sistema. Es necesario tomar en cuenta que un prerrequisito para que un ataque tenga éxito es el tamaño del archivo original classes.dex, que no debe ser mayor de 64 kilobytes, condición que no cumplen la mayoría de las aplicaciones Android.

Para mayor información, consulta el artículo completo de Stefano Ortolani aquí.

Estadística

En el tercer trimestre de 2013 ha seguido creciendo la cantidad de malware móvil:


Cantidad de muestras en nuestra colección

La distribución por tipos de los programas maliciosos móviles detectados en el tercer trimestre de 2013 no ha cambiado en comparación con el trimestre anterior:


Distribución de nuevos programas maliciosos móviles por tipos de comportamiento, tercer trimestre de 2013

Los backdoor siguen ocupando el primer puesto y su índice ha bajado en un 1,3% en comparación con el segundo trimestre de 2013. En el segundo puesto están los troyanos SMS (30%), cuyo índice ha crecido en un 2,3%. Más abajo siguen estando los programas troyanos (22%) y los troyanos-espía, con un índice del 5%. Los backdoors y los troyanos SMS en el tercer trimestre han sumado el 61% del total de programas maliciosos móviles, un 4,5% más que en el segundo trimestre.

Hacemos notar que no es raro que los programas maliciosos móviles incorporen varios componentes maliciosos, por eso los backdoors con frecuencia tienen también funciones de troyanos SMS, y éstos pueden contener funciones complejas de bots.

TOP 20 de programas maliciosos móviles

Nombre % del total de ataques
1 DangerousObject.Multi.Generic 29.15%
2 Trojan-SMS.AndroidOS.OpFake.bo 17.63%
3 Trojan-SMS.AndroidOS.FakeInst.a 8.40%
4 Trojan-SMS.AndroidOS.Agent.u 5.49%
5 Trojan.AndroidOS.Plangton.a 3.15%
6 Trojan-SMS.AndroidOS.Agent.cm 3.92%
7 Trojan-SMS.AndroidOS.OpFake.a 3.58%
8 Trojan-SMS.AndroidOS.Agent.ao 1.90%
9 Trojan.AndroidOS.MTK.a 1.00%
10 DangerousObject 1.11%
11 Trojan-SMS.AndroidOS.Stealer.a 0.94%
12 Trojan-SMS.AndroidOS.Agent.ay 0.97%
13 Exploit.AndroidOS.Lotoor.g 0.94%
14 Trojan-SMS.AndroidOS.Agent.a 0.92%
15 Trojan-SMS.AndroidOS.FakeInst.ei 0.73%
16 Trojan.AndroidOS.MTK.c 0.60%
17 Trojan-SMS.AndroidOS.Agent.df 0.68%
18 Trojan-SMS.AndroidOS.Agent.dd 0.77%
19 Backdoor.AndroidOS.GinMaster.a 0.80%
20 Trojan-Downloader.AOS.Boqx.a 0.49%

 

Como podemos ver, 12 programas del TOP 20 son Trojan-SMS. Esto es un indicio de que los ataques con troyanos SMS son los más populares entre los delincuentes y los troyanos SMS siguen siendo el principal instrumento que usan para lucrar.

En el primer puesto tenemos a DangerousObject.Multi.Generic. Este veredicto indica que ya sabemos que la aplicación es maliciosa, pero la firma de detección por uno u otro motivo no llegó al usuario. En este caso se encargan de la detección las tecnologías “en la nube” de Kaspersky Security Network, que permiten que nuestros productos reacciones con rapidez a las amenazas nuevas y desconocidas.

Los programas maliciosos móviles que ocupan las tres siguientes posiciones de la estadística son aplicaciones muy complejas, usadas por los escritores de virus como fundamento para construir botnets móviles.

En el segundo puesto está Trojan-SMS.AndroidOS.OpFake.bo. Este es uno de los representantes de los troyanos SMS más complejos. Se caracteriza por tener una interfaz muy bien diseñada y por la avidez de sus creadores. La activación del troyano le roba al dueño del teléfono desde 9 dólares hasta todo el dinero que tenga en su cuenta móvil. También existe el riesgo de desacreditación del número de teléfono, ya que el troyano puede recolectar números de la libreta de teléfonos y enviarles mensajes al azar. Su blanco son, sobre todo, los usuarios de habla rusa y lo usuarios de los países de la Comunidad de Estados Independientes. En la séptima posición del TOP 20 está otro programa malicioso de esta familia, que cuenta con funciones similares.

En el tercer puesto está Trojan-SMS.AndroidOS.FakeInst.a Este troyano, al igual que OpFake, ha evolucionado durante el transcurso de los últimos dos años desde un simple remitente de SMS hasta convertirse en un bot completo, administrado por diferentes canales (en particular mediante Google Cloud Messaging). Puede robar dinero de la cuenta del abonado y enviar mensajes a la lista de contactos de la víctima.

En el cuarto lugar está Trojan-SMS.AndroidOS.Agent.u, el primer troyano que empezó a utilizar una vulnerabilidad del SO Android para obtener derechos de DEVICE ADMIN y con esto hacer que sea muy difícil eliminarlo. Además, puede “colgar” las llamadas entrantes y hacer llamadas por su propia cuenta. Esta infección causa el envío de varios SMS que pueden costar desde 9 dólares.

El 99,92% de todos los ataques contra las plataformas móviles en el tercer trimestre de 2013 pertenece a Android. Y no es algo sorprendente, porque esta plataforma es popular, sigue siendo abierta e incluso en sus versiones más modernas se ha conservado la posibilidad de instalar aplicaciones de terceras fuentes.

Pero hay que reconocer los esfuerzos de Google. Ahora el mismo sistema operativo reacciona ante algunas aplicaciones maliciosas:

Esto indica que los creadores de uno de los sistemas operativos móviles más difundidos saben que Android es en el presente el principal blanco del software móvil y tratan de hacerle frente.

Estadística

Todos los datos estadísticos usados en el informe se han obtenido mediante la red antivirus distribuida Kaspersky Security Network (KSN), como resultado del funcionamiento de los diferentes componentes de protección contra los programas maliciosos. Los datos se obtuvieron en los equipos de los usuarios de KSN que confirmaron su consentimiento en enviarlos. En el intercambio global de información sobre las actividades maliciosas toman parte millones de usuarios de los productos de Kaspersky Lab de 213 países del mundo.

Las amenazas en Internet

Los datos estadísticos citados en esta sección provienen del funcionamiento del antivirus web, que protege a los usuarios cuando se descargan códigos maliciosos de páginas web infectadas. Pueden estar infectados sitios creados por los delincuentes con este fin, páginas web cuyo contenido lo crean los usuarios (por ejemplo, los foros) y páginas legítimas hackeadas.

Objetos detectados en Internet

El tercer trimestre de 2013 las soluciones de Kaspersky Lab han neutralizado 500.284.715 ataques lanzados desde recursos de Internet ubicados en diferentes países del mundo.

TOP 20 de objetos detectados en Internet

Nombre* % del total de ataques*
1 Malicious URL 89.16%
2 Trojan.Script.Generic 3.57%
3 Adware.Win32.MegaSearch.am 2.72%
4 Trojan-Downloader.JS.Psyme.apb 1.19%
5 Trojan.Script.Iframer 1.10%
6 Exploit.Script.Blocker 0.37%
7 Trojan.Win32.Generic 0.35%
8 Trojan-Downloader.Script.Generic 0.28%
9 Trojan.JS.Iframe.aeq 0.15%
10 Adware.Win32.Agent.aeph 0.13%
11 Exploit.Java.Generic 0.11%
12 Trojan-Downloader.Win32.MultiDL.k 0.10%
13 Trojan-Downloader.Win32.Generic 0.10%
14 Exploit.Script.Generic 0.08%
15 Exploit.Script.Blocker.u 0.06%
16 WebToolbar.Win32.MyWebSearch.rh 0.06%
17 Packed.Multi.MultiPacked.gen 0.06%
18 Trojan-SMS.J2ME.Agent.kn 0.05%
19 Adware.Win32.Lyckriks.j 0.05%
20 Exploit.JS.Agent.bnk 0.04%

 

 

*Estos datos estadísticos representan los veredictos de detección del módulo antivirus web y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que aceptaron compartir sus datos locales.

**Porcentaje de incidentes únicos registrados por el módulo antivirus web en los equipos de los usuarios.

 

La estadística muestra que de nuevo la mayoría de las detecciones del antivirus web tienen lugar en la etapa de revisión de la URL.  El 89,2% de las detecciones del antivirus web corresponden a los enlaces de la lista de rechazados(URL maliciosas, primer puesto).

10 de los 20 puestos de la estadística están ocupados por todo tipo de veredictos asignados a objetos maliciosos usados durante los ataques drive-by, que es el método más popular con el que los programas maliciosos llegan desde Internet. Se trata de los veredictos heurísticos como Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic y los veredictos no heurísticos.

Entre los veredictos no heurísticos, en esta estadística se encuentran sobre todo los programas publicitarios, y su presencia ha aumentado en un 2,4% en comparación con el segundo trimestre de 2013.

Trojan-SMS.J2ME.Agent.kn fue el invitado inesperado del TOP20. Este programa malicioso afecta a la plataforma móvil Java Platform Micro Edition. Los miembros de esta familia habían estado ausentes del TOP 20 desde 2011. Su función es enviar SMS a un número premium. El programa malicioso se propaga mediante mensajes spam en ICQ, en los cuales hay un enlace a una aplicación Java, como también en los sitios temáticos que ofrecen descargas móviles. Cuando el usuario pulsa el enlace, en el sitio se verifica el User-Agent para determinar el sistema operativo del usuario.  Si el User-Agent corresponde al navegador web de Android, empieza la descarga de una aplicación Android. En todos los demás casos, incluyendo aquellos en que se usa un navegador web en un ordenador común y corriente, los dueños del programa malicioso prefieren ofrecer una aplicación J2ME predeterminada. Cuando se hace clic en estos enlaces, el antivirus web instalado en los ordenadores les asigna el veredicto Trojan-SMS.J2ME.Agent.kn.

Países desde cuyos recursos se lazaron ataques contra los usuarios

Los siguientes datos se basan en la localización física de los recursos online usados en ataques detectados por Kaspersky Security Network (páginas web que remiten a exploits, sitios que contienen exploits y otros tipos de malware, centros de administración de botnets, etc.).  Para determinar la fuente geográfica de los ataques se usó el método de yuxtaponer el nombre de dominio a la dirección IP real, en la cual se encuentra este dominio, y determinar la ubicación geográfica de esta dirección IP (GEOIP).

El 81,1% de los recursos web usados para propagar programas maliciosos se encuentra en 10 países. Esto es un 1,5% menos que en el segundo trimestre.


Distribución por país de los recursos web infectados o maliciosos usados por los delincuentes durante los ataques web bloqueados, tercer trimestre de 2013

En la estadística de países ordenados según la cantidad de servidores de hospedaje bloqueados los porcentajes de cada país han cambiado muy poco en comparación con el segundo trimestre. En los primeros cuatro países siguen EE.UU. (27,7%), Rusia (18,5%), Alemania (13,4%) y los Países Bajos (11,6%). En estos países está el 70,15% de todos los servidores de hospedaje maliciosos.  Han abandonado el TOP10 China y Vietnam, mientras que Canadá (1,3%) y las Islas Vírgenes (1,2%) han hecho su debut ocupando los puestos 8 y 9 respectivamente.

Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección mediante Internet

Para evaluar el grado de riesgo de infección mediante Internet al que están sometidos los ordenadores de los usuarios en diferentes países, hemos calculado para cada país la frecuencia de las reacciones del antivirus web durante el trimestre.


20 países* con mayor riesgo de infección de equipos mediante Internet**, tercer trimestre de 2013

 

*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).

**Porcentaje de usuarios únicos que fueron víctimas de ataques web, de entre todos los usuarios únicos de los productos de Kaspersky Lab en el país.

 

La lista de países que forman parte de la estadística no ha cambiado en comparación con el segundo trimestre de 2013, a excepción de la aparición de Alemania en el decimosegundo puesto (35,78%) y la salida de Libia.

Es digno de mencionar el hecho de que según los resultados del tercer trimestre de 2013 los índices de todos los países son menores al 50%. Por ejemplo, el índice de Rusia, que ocupa el primer lugar, es de 49,66%. En consecuencia, ningún país ha entrado en el grupo de máximo riesgo, el de los países donde más del 60% de los usuarios se ha topado por lo menos una vez con programas maliciosos en Internet.

Todos los países se pueden dividir en varios grupos.

  1. Grupo de riesgo alto. Han entrado en este grupo, con un índice del 41-60%, 8 países del TOP 20, dos países menos que en el segundo trimestre de 2013. En este grupo siguen estando Vietnam (43,45%) y los países del espacio postsoviético: Rusia (49,66%), Kazajistán (49,22%), Armenia (49,06%), Azerbaiyán (48,43%), Tayikistán (45,40%), Bielorrusia (40,36%) y Ucrania (40,11%).
  2. Grupo de riesgo. En este grupo, con índices del 21-40,99%, han ingresado 76 países, entre ellos Alemania (35,78%), Polonia (32,79%), Brasil (30,25%), EE.UU. (29,51%), España (28,87%), Catar (28,82%), Italia (28,26%), Francia (27,91%), Inglaterra (27,11%), Egipto (26,30%), Suecia (21,80%), los Países Bajos (21,44%) y Argentina (21,40%).
  3. Grupo de los países más seguros para navegar en Internet.  En el tercer trimestre de 2013 en este grupo hay 62 países con índices del 10-21%.

El menor porcentaje de usuarios atacados al visitar páginas web está en Dinamarca (17,01%), Japón 17,87%, África del Sur (18,69%), Chequia (19,68%), Eslovaquia (19,97%) y Finlandia (20,87%).

En general, el 34,1% de los ordenadores de los usuarios de KSN sufrieron en este trimestre por lo menos un ataque mientras navegaban en Internet. Hacemos notar que el término medio de equipos atacados, en comparación con el segundo trimestre de 2013, se ha reducido en un 1,1%.

Amenazas locales

En este apartado analizaremos los datos estadísticos provenientes del funcionamiento del módulo antivirus, que analiza los ficheros en el disco duro durante su creación o cuando se los lee, y la estadística del análisis de diferentes memorias extraíbles.

Objetos detectables encontrados en los ordenadores de los usuarios

En el tercer trimestre de 2013 nuestras soluciones antivirus han detectado 476.856.965 de objetos locales en los equipos y memorias extraíbles de los usuarios que forman parte de Kaspersky Security Network.

Amenazas detectadas en los equipos de los usuarios: TOP 20

Nombre % de usuarios únicos atacados**
1 Trojan.Win32.Generic 35.51%
2 DangerousObject.Multi.Generic 32.43%
3 Trojan.Win32.AutoRun.gen 13.56%
4 Adware.Win32.DelBar.a 11.80%
5 Virus.Win32.Sality.gen 9.52%
6 Adware.Win32.Bromngr.j 7.81%
7 Exploit.Win32.CVE-2010-2568.gen 7.56%
8 Adware.Win32.Bromngr.i 6.60%
9 Adware.Win32.Agent.aeph 6.55%
10 Worm.Win32.Debris.a 6.24%
11 Trojan.Win32.Starter.lgb 5.59%
12 Adware.Win32.WebCake.a 5.06%
13 Expoit.Script.Generic 4.31%
14 Trojan.WinLNK.Runner.ea 4.17%
15 Adware.Win32.Bandoo.a 4.00%
16 Virus.Win32.Generic 3.71%
17 Virus.Win32.Nimnul.a 3.67%
18 Trojan.Win32.Staser.fv 3.53%
19 Trojan.Script.Generic 3.52%
20 HiddenObject.Multi.Generic 3.36%

 

 

Esta estadística contiene los veredictos de detección de los módulos OAS y ODS del antivirus, enviados por los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.

*Porcentaje de usuarios únicos en cuyos equipos el antivirus detectó este objeto, de entre todos los usuarios únicos de los productos de Kaspersky Lab en cuyos equipos hubo reacciones del antivirus.

 

Como antes, en esta estadística lideran tres veredictos.

El primer puesto de la estadística lo ocupa el veredicto del analizador heurístico cuando hace la detección proactiva de un grupo de programas maliciosos, Trojan.Win32.Generic (35,51%).

Los programas maliciosos DangerousObject.Multi.Generic detectados mediante las tecnologías “en la nube” han ocupado el segundo puesto con un índice del 32,43%. Estas tecnologías se activan cuando en las bases antivirus todavía no existen firmas ni heurísticas que detecten el programa malicioso, pero la compañía antivirus ya tiene información sobre el objeto “en la nube”. De hecho, esta es la forma en que se detectan los programas maliciosos más nuevos.

En el tercer puesto está Trojan.Win32.AutoRun.gen (13,56%). Se trata de los programas maliciosos que usan el inicio automático.

Países cuyos usuarios estuvieron bajo el mayor riesgo de infección local

Las cifras que citamos a continuación reflejan el promedio de equipos infectados en uno u otro país. Entre los usuarios de KSN que nos envían información, se encontró un fichero malicioso por lo menos una vez en uno de cada tres equipos (31,9%), ya sea en el disco duro o en una memoria removible conectada al mismo. Esto es un 2% más que en el trimestre anterior.


TOP 20 de países* según su cantidad de equipos** infectados, tercer trimestre de 2013

 

*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).

**Porcentaje de usuarios únicos en cuyos ordenadores se detectaron amenazas locales, de entre la cantidad total de usuarios de productos de Kaspersky Lab en el país.

 

Hace ya más de un año que el TOP20 de esta estadística lo forman los países de África, Cercano Oriente y del sureste de Asia.

En lo que atañe a las infecciones locales, podemos agrupar todos los países según su nivel de infección:

  1. Grupo de máximo nivel de infección (más del 60%): en este grupo está sólo Vietnam (61,2%).
  2. Nivel de infección alto (41-60%): en este grupo hay 29 países del mundo, entre ellos Nepal (55,61%), Bangladesh (54,75%), India (51,88%), Marruecos (42,93%) y Filipinas (41,97%).
  3. Nivel de infección medio 21-40,99%: son 87 países, entre ellos Tailandia (40,19%), Emiratos Árabes Unidos (39,86%), Turquía (38,41%), Brasil (36,67%), China (36,07%), México (34,09%), Alemania (24,31%) e Inglaterra (21,91%).
  4. Nivel de infección mínimo (hasta 21%): 29 países, entre ellos EE.UU. (20,36%), Canadá (19,18%), Países Bajos (18,39%), Suecia (19,18%), Japón (12,9%) y República Checa (12,65%).


Riesgo de infección local que corren los equipos en diferentes países, tercer trimestre de 2013

Entre los países más seguros por su bajo nivel de infección local están:

Nombre País
1 Dinamarca 11.93%
2 República Checa 12.85%
3 Japón 12.90%
4 Finlandia 14.03%
5 Eslovenia 14.93%
6 Noruega 15.95%
7 Islas Seychelles 16.32%
8 Estonia 16.46%
9 Eslovaquia 16.72%
10 Suecia 16.80%

 

En comparación con el segundo trimestre de 2013, en esta lista han aparecido tres nuevos países: las Islas Seychelles, Estonia y Eslovaquia, que relegaron a Irlanda, Países Bajos y Martinica.

Desarrollo de las amenazas informáticas en el tercer trimestre de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada